Mohou být programy, které denně používáme k ochraně počítačů před viry, spywarem a dalšími závadnými aplikacemi, samy o sobě nebezpečné? Někteří bezpečnostní technici jsou o tom přesvědčeni.
Thierry Zoller, bezpečnostní technik firmy N.runs AG, v uplynulých dvou letech podrobně zkoumal způsob, jakým antivirové programy kontrolují elektronickou poštu. Na základě svého pozorování dospěl k překvapivému závěru – lidé, používající ke kontrole dat více antivirových programů, nejednou mohou celkovou situaci spíše zhoršit.
Jak je to možné? Útočníci mohou velmi snadno využívat chyby v syntaktických programech používaných pro zkoumání různých formátů souborů. Čím více antivirových nástrojů tedy používáme, tím větší je i šance na úspěšný útok. Antivirové programy otevírají a kontrolují data ve stovkách až tisících formátech souborů. Stačí tedy jediná drobná chyba v softwaru a důsledky mohou být velmi závažné.
Nevyřešené chyby
Zoller a jeho kolega Sergio Alvarez se tímto problémem zabývali minulé dva roky. Za tu dobu našli v antivirových programech více než 80 syntaktických chyb, na většinu z nich přitom zatím neexistují žádné bezpečnostní záplaty ani opravné nástroje. Chyby, které oba výzkumníci odhalili, se týkají všech hlavních antivirových programů. Mnohé z nich podle Zollera umožňují útočníkům spustit v napadených systémech nepovolené kódy.
„Lidé si často myslí, že použitím více antivirových programů najednou znásobí ochranu počítače. Říkají si, že když virus proklouzne jednomu programu, druhý ho zaručeně zachytí,“ tvrdí Zoller. „Ve skutečnosti to ale funguje opačně – čím více antivirů, tím větší je riziko napadení přístroje. V každém programu se totiž dají najít chyby.“
„Čím víc antivirů, tím větší je riziko napadení přístroje. V každém programu se totiž dají najít chyby.“
Syntaktických chyb v prohlížečích využívají útočníci s větším či menším úspěchem už řadu let, podle Zollera ovšem antivirové programy představují podstatně větší riziko. Jsou totiž nainstalovány v podstatě v každém počítači a často se na ně vztahují mnohem širší administrátorská práva než na prohlížeče. V budoucnu by se proto mohly stát příčinou vážných problémů. Základním faktem vyplývajícím z výzkumu je podle Zollera skutečnost, že antivirové programy lze prolomit. „Stačí jeden e-mail a neštěstí je tu,“ říká lakonicky.
Prolomené programy
Prvotním impulzem k výzkumu chyb v syntaktických programech byl vzrůstající zájem o tzv. zátěžový software, který vývojáři a výzkumníci používají při testování svých programů. Zátěžový software zaplaví programy velkým množstvím chybných dat a vývojáři mohou pozorovat, zda toto zahlcení může způsobit zhroucení aplikace. V letech 2002—2005 mohli útočníci na dálku využít zhruba polovinu všech bezpečnostních chyb objevených v tehdejších antivirových programech. Dnes toto číslo vzrostlo na 80?%.
Zollerova firma N.runs v tom vidí příležitost, jak se prosadit na trhu. V současné době vyvíjí aplikaci s pracovním označením ParsingSafe, která by měla antivirové programy před syntaktickými útoky účinně ochránit. Firma N.runs se ale dočkala i kritiky – stojí za ní Russ Cooper, vedoucí výzkumu společnosti Verizon Business. „Ten výzkum vypadá skoro jako instruktážní příručka pro zločince, jak útočit na zranitelné programy,“ tvrdí. „Seznam zranitelných míst působí hrozivě, ve skutečnosti ale na mnohá z těchto míst ještě nikdo nikdy neútočil.“
Cooper souhlasí s tím, že syntaktické chyby v antivirových programech znamenají velké riziko, podle něj ale existuje hned několik důvodů, proč se tato zranitelná místa dosud nestala předmětem rozsáhlých útoků. Prvním z nich je skutečnost, že útočníky dostatečně uspokojují současné praktiky v podobě rozesílání nebezpečných e-mailů. Druhým důvodem je pružnost antivirových programů a jejich výrobců – napadnou-li útočníci nějaké slabé místo, následuje většinou rychlé vydání bezpečnostní záplaty. Podle mluvčího společnosti eEye Marca Maiffreta výrobci antivirových programů o problémech s bezpečností vědí už dlouho. „Bezpečnostní programy jsou úplně stejně zranitelné jako jakékoli jiné aplikace,“ vysvětluje. „Jejich vývojáři totiž chodili do stejných škol jako zaměstnanci Microsoftu a získali tam úplně stejné zlozvyky.“
Zoller je přesvědčen, že zná důvod, proč ho jiní odborníci v oblasti bezpečnostního softwaru kritizují. Tvrdí, že on a jeho kolegové „zpochybnili základní kámen, na kterém bezpečnost v oblasti IT stojí.“ Přesto věří, že se vyplatí mluvit o těchto problémech nahlas – nebezpečí je podle něj reálné a výrobci na něj musejí účinně zareagovat. 8 0077/VAC o
PŘEDPLATNÉ
ČLÁNKY DO MAILU